Все организации, предоставляющие услуги или продающие товары в ЕС, должны принять новые правила защиты данных. В противном случае им грозит штраф в размере 4% от мирового оборота, что составляет около 24,5 млн долларов.
Вступление GDPR в силу повлияет на бизнес по всему миру, включая 52% американских компаний. Многие компании уже заявили, что готовы к обновленным правилам.
Тем не менее, согласно прогнозам Gartner, только половина компаний преуспеет в принятии этих требований. Вы можете найти список рекомендаций от компании по разработке программного обеспечения Belitsoft, которые помогут вам оказаться в числе таких предприятий.
Что означает GDPR? Какие организации должны соблюдать GDPR?
GDPR означает Общий регламент по защите данных. Это юридический документ с подробным перечнем правил сбора и обработки персональных данных.
Предыдущий список, представленный в 1995 году, был списком рекомендаций. В отличие от этого документа, GDPR налагает строгие обязательства на все организации, которые собирают или обрабатывают персональные данные.
Кроме того, все ваши подрядчики должны соблюдать стандарт GDPR для вашего продукта (включая компании, предоставляющие вам ресурсы для разработки программного обеспечения), чтобы гарантировать, что ваше решение соответствует GDPR.
Gartner прогнозирует, что власти начнут проверять соблюдение нового стандарта сразу после одобрения и вступления в силу GDPR. Поэтому заблаговременная подготовка поможет компаниям избежать штрафов и других негативных последствий для своего бизнеса, например, потери клиентов и партнеров.
Этот регламент, включая сопроводительные документы, имеет 260 страниц и требует долгого и тщательного изучения. Тем не менее, мы подготовили краткий список шагов, которые вы можете сделать сейчас, чтобы соответствовать его требованиям.
Убедитесь, что вы получили согласие пользователей.
Согласно GDPR, вы обязаны спрашивать у пользователей, согласны ли они с тем, что ваша компания собирает и обрабатывает их данные.
Ваше приложение должно предупреждать клиентов о том, какая именно информация собирается, почему ваша организация собирается ее использовать и как. Если клиент ничего не делает, это не будет означать его согласия. Клиент должен выполнить определенное действие, например, поставить галочку. Все, что вам нужно, — это настроить своевременное уведомление, которое подробно описывает запрос и позволяет пользователям согласиться или отклонить его.
Обратите внимание: если у вас уже есть база данных клиентов (БД), вам, вероятно, следует снова запросить у них разрешение, поскольку уровень согласия может быть ниже, чем того требует новое регулирование. Помните, что пользователю необходимо предпринять четко определенное действие, чтобы продемонстрировать свое согласие, например, нажать кнопку «Я согласен».
Вам не обязательно получать согласие пользователей, если вам нужна определенная информация для предоставления ваших услуг. Например, интернет-магазин запрашивает имя и адрес электронной почты для доставки товара. Тем не менее, если вы хотите использовать данные клиентов для рекламы или других дополнительных целей, вам запрещено делать это без согласия.
Шифровать личную информацию
Ashley Madison хранила адреса клиентов и данные их кредитных карт без шифрования. Когда хакеры атаковали компанию, ее много раз судили за утечки данных, и речь шла о миллионах долларов. Кроме того, если бы власти к тому времени одобрили GDPR, компанию бы серьезно оштрафовали.
Шифрование данных обеспечивает дополнительные препятствия, которые хакерам необходимо преодолеть, прежде чем получить доступ к информации.
32-я статья GDPR требует «современных» мер защиты. Тем не менее, компаниям не даются точные указания, они должны сами определять эти меры.
Существует три основные стратегии, которым вы можете следовать при разработке базы данных, соответствующей требованиям GDPR:
- создание собственного сервера с централизованной БД;
- использование стороннего сервера, соответствующего требованиям GDPR, с централизованной базой данных;
- использование технологии блокчейн и проектирование собственного сервера с децентрализованной базой данных.
Минимизируйте объем хранимых данных
Сохраняйте только ту информацию, без которой вы не можете работать. Было бы полезно реализовать автоматическое удаление всех данных, которые вам больше не нужны.
Это решение защитит конфиденциальность ваших пользователей и избавит вас от проблем при кибератаках и утечках данных: общения с властями и владельцами взломанных аккаунтов.
Документируйте свои меры защиты
GDPR требует не только внедрения мер безопасности, но и документирования каждого шага, чтобы доказать свое соответствие требованиям в случае официального аудита.
Поэтому вам необходимо содержать в порядке всю документацию: реестр персональных данных, политику безопасности и другие документы, подробно описанные на веб-сайте Управления комиссара по информации.
Сотрудник по защите данных обычно отвечает за регистрацию и организацию всех этих активов в вашей организации. Если у вас нет такого специалиста, вы также можете не соответствовать требованиям GDPR и столкнуться с репутационными и финансовыми рисками.
Подготовьте план действий на случай форс-мажоров
В любом случае, имейте стратегию на случай утечек данных и нарушений. В большинстве случаев вам необходимо сообщить о проблеме в Управление комиссара по информации в течение 72 часов. Если вы решите не сообщать им, у вас должна быть веская причина, должным образом описанная и подтвержденная документами. Если эта утечка персональных данных представляет «высокий риск для прав и свобод отдельных лиц», вы также должны уведомить своих пользователей.
Сообщение для клиентов должно включать следующие пункты:
- Имя и контактная информация вашего DPO или другого специалиста, отвечающего за безопасность пользователей.
- Подробности о возможных последствиях утечки данных;
- Ваши меры по борьбе с этой утечкой данных.
Если вы не сообщили в Управление комиссара по информации, когда это было необходимо, вы можете получить штраф в размере 10 млн евро, не говоря уже о дополнительных штрафах. Подготовка надлежащей процедуры отчетности заранее может значительно снизить эти риски.
Подводить итоги
Эксперты прогнозируют, что только половина организаций оказывается соответствующей GDPR. Независимо от вашего местонахождения, вы подпадаете под действие GDPR, если предоставляете услуги или продаете товары гражданам ЕС. Клиенты могут запросить удаление персональных данных или исправление предыдущего разрешения. Нарушение закона влечет за собой высокие штрафы и ущерб репутации.
